| Navigationslinks �berspringen | |
| Druckansicht beenden | |
|
Systemverwaltungshandbuch: Netzwerkdienste |
Teil I Netzwerkdienste - Themen
2. Verwalten von Webcache-Servern
Network Cache and Accelerator (Übersicht)
Webserver in Verbindung mit SSL-Protokoll (Secure Sockets Layer)
Verwalten von Webcache-Servern (Übersicht der Schritte)
Interpositionsbibliothek für Dämon-Unterstützung des Tor-Servers
Unterstützung für mehrere Instanzen
Verwalten der Zwischenspeicherung von Webseiten (Aufgaben)
So aktivieren Sie die Zwischenspeicherung von Webseiten
So deaktivieren Sie die Zwischenspeicherung von Webseiten
So aktivieren oder deaktivieren Sie die NCA-Protokollierung
So laden Sie die Socket-Dienstprogramm-Bibliothek für NCA
So fügen Sie einen neuen Port dem NCA-Service hinzu
So konfigurieren Sie einen Apache 2.0-Webserver, um den SSL-Kernel-Proxy zu verwenden
So konfigurieren Sie einen Sun Java System-Webserver, um den SSL-Kernel-Proxy zu verwenden
Zwischenspeicherung von Webseiten (Referenz)
Datenfluss von NCA zu Httpd, der aus einer Anforderung resultiert
Teil II Zugriff auf Netzwerkdateisysteme - Themen
4. Verwalten von Netzwerkdateisystemen (Übersicht)
5. Verwaltung des Netzwerkdateisystems (Aufgaben)
6. Zugreifen auf Netzwerkdateisysteme (Referenz)
Teil III SLP (Service Location Protocol) - Themen
8. Planen und Aktivieren von SLP (Aufgaben)
9. Verwalten von SLP (Aufgaben)
10. Integrieren von veralteten Services
Teil V Serielle Vernetzung - Themen
15. Solaris PPP 4.0 (Überblick)
16. PLanen einer PPP-Verbindung (Aufgaben)
17. Einrichten einer PPP-Einwahlverbindung (Aufgaben)
18. Einrichten einer PPP-Standleitungsverbindung (Aufgaben)
19. Einrichten der PPP-Authentifizierung (Aufgaben)
20. Einrichten eines PPPoE-Tunnels (Aufgaben)
21. Beheben von allgemeinen PPP-Problemen (Aufgaben)
22. Solaris PPP 4.0 (Referenz)
23. Migrieren von Asynchronous Solaris PPP zu Solaris PPP 4.0 (Aufgaben)
25. Verwalten von UUCP (Aufgaben)
Teil VI Arbeiten mit Remote-Systemen - Themen
27. Arbeiten mit Remote-Systemen (Übersicht)
28. Verwalten des FTP-Servers (Aufgaben)
29. Zugriff auf Remote-Systeme (Aufgaben)
Teil VII Überwachen von Netzwerkdiensten - Themen
In den folgenden Abschnitten werden die Verfahren beschrieben, um Teile des Services zu aktiviert oder zu deaktiviert.
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
Tragen Sie den Namen jeder physischen Schnittstelle in die Datei /etc/nca/nca.if ein. Weitere Informationen finden Sie auf der Manpage nca.if(4).
# cat /etc/nca/nca.if hme0 hme1
Jede Schnittstelle muss über eine eigene hostname.interface-name-Datei und einen Eintrag in der /etc/hosts-Datei für den Inhalt von hostname.interface-name verfügen. Um die NCA-Funktion für alle Schnittstellen zu starten, fügen Sie ein Sternchen (*) in die Datei nca.if ein.
Ändern Sie den status-Eintrag in der Datei /etc/nca/ncakmod.conf in "aktiviert" (enabled).
# cat /etc/nca/ncakmod.conf # # NCA Kernel Module Configuration File # status=enabled httpd_door_path=/var/run/nca_httpd_1.door nca_active=disabled
Weitere Informationen finden Sie auf der Manpage ncakmod.conf(4).
Ändern Sie den status-Eintrag in der Datei /etc/nca/ncalogd.conf in "aktiviert" (enabled).
# cat /etc/nca/ncalogd.conf # # NCA Logging Configuration File # status=enabled logd_path_name="/var/nca/log" logd_file_size=1000000
Sie können den Speicherort der Protokolldatei ändern, indem Sie den Pfad ändern, der durch den Eintrag logd_path_name angezeigt wird. Die Protokolldatei kann ein Raw-Gerät oder eine Datei sein. Die folgenden Beispiele stellen NCA-Protokolldateipfade dar. Weitere Informationen zur Konfigurationsdatei finden Sie auf der Manpage ncalogd.conf(4).
Tragen Sie die Portnummern in die Datei /etc/nca/ncaport.conf ein. Dieser Eintrag bewirkt, dass NCA bei allen konfigurierten IP-Adressen den Port 80 überwacht.
# cat /etc/nca/ncaport.conf # # NCA Kernel Module Port Configuration File # . . ncaport=*/80
Verwenden Sie den Befehl eeprom, um die kernelbase des Systems festzulegen.
# eeprom kernelbase=0x90000000 # eeprom kernelbase kernelbase=0x90000000
Der zweite Befehl prüft, ob der Parameter gesetzt wurde.
Hinweis - Wenn Sie die kernelbase festlegen, verringern Sie die Größe des virtuellen Speichers, der für Benutzerprozesse verwendet werden kann, auf weniger als 3 GB. Durch diese Beschränkung ist das System nicht ABI-konform. Wenn das System gestartet wird, zeigt die Konsole eine Warnmeldung an, die auf Nichtkonformität hinweist. Für die meisten Programme ist kein virtueller Adressspeicher von 3 GB erforderlich. Wenn Sie ein Programm verwenden, das mehr als 3 GB benötigt, müssen Sie das Programm auf einem System ausführen, auf dem NCA nicht aktiviert ist.
Beispiel 2-1 Verwenden eines Raw-Geräts als NCA-Protokolldatei
Die logd_path_name-Zeichenfolge in ncalogd.conf kann ein Raw-Gerät als Speicherplatz der NCA-Protokolldatei definieren. Der Vorteil eines Raw-Geräts besteht darin, dass der Service schneller ausgeführt werden kann, weil weniger Aufwand beim Zugreifen auf das Raw-Gerät entsteht.
Der NCA-Service testet jedes in der Datei aufgelistete Raw-Gerät, um sicherzustellen, dass kein Dateisystem vorhanden ist. Durch diesen Test wird gewährleistet, dass keine aktiven Dateisysteme versehentlich überschrieben werden.
Um zu verhindern, dass bei diesem Test ein Dateisystem gefunden wird, führen Sie den folgenden Befehl aus. Dieser Befehl zerstört einen Teil des Dateisystems auf jeder Festplattenpartition, die als Dateisystem konfiguriert war. In diesem Beispiel ist /dev/rdsk/c0t0d0s7 das Raw-Gerät, auf dem sich ein altes Dateisystem befindet.
# dd if=/dev/zero of=/dev/rdsk/c0t0d0s7 bs=1024 count=1
Nachdem Sie dd ausgeführt haben, können Sie das Raw-Gerät in die Datei ncalogd.conf einfügen.
# cat /etc/nca/ncalogd.conf # # NCA Logging Configuration File # status=enabled logd_path_name="/dev/rdsk/c0t0d0s7" logd_file_size=1000000
Beispiel 2-2 Verwenden mehrerer Dateien für die NCA-Protokollierung
Die logd_path_name-Zeichenfolge in ncalogd.conf kann mehrere Ziele als Speicherplatz der NCA-Protokolldatei definieren. Die zweite Datei wird verwendet, wenn die erste Datei voll ist. Das folgende Beispiel zeigt, wie festgelegt wird, dass die /var/nca/log-Datei zunächst beschrieben und dann eine Rohpartition verwendet wird:
# cat /etc/nca/ncalogd.conf # # NCA Logging Configuration File # status=enabled logd_path_name="/var/nca/log /dev/rdsk/c0t0d0s7" logd_file_size=1000000
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
Ändern Sie den status-Eintrag in der Datei /etc/nca/ncakmod.conf in disabled.
# cat /etc/nca/ncakmod.conf # NCA Kernel Module Configuration File # status=disabled httpd_door_path=/var/run/nca_httpd_1.door nca_active=disabled
Weitere Informationen finden Sie auf der Manpage ncakmod.conf(4).
Ändern Sie den status-Eintrag in der Datei /etc/nca/ncalogd.conf in disabled.
# cat /etc/nca/ncalogd.conf # # NCA Logging Configuration File # status=disabled logd_path_name="/var/nca/log" logd_file_size=1000000
Weitere Informationen finden Sie auf der Manpage ncalogd.conf(4).
Die NCA-Protokollierung kann je nach Bedarf aktiviert oder deaktiviert werden, nachdem NCA aktiviert wurde. Weitere Informationen finden Sie unter So aktivieren Sie die Zwischenspeicherung von Webseiten.
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
Um die Protokollierung dauerhaft zu deaktivieren, müssen Sie den Status in der Datei /etc/nca/ncalogd.conf auf "deaktiviert" (disabled) setzen und das System neu starten. Weitere Informationen finden Sie auf der Manpage ncalogd.conf(4).
Wenden Sie dieses Verfahren nur dann an, wenn Ihr Webserver das AF_NCA-Socket nicht standardmäßig unterstützt.
Fügen Sie in das Startskript des Webservers eine Zeile ein, die bewirkt, dass die Bibliothek vorgeladen wird. Diese Zeile sollte wie folgt aussehen:
LD_PRELOAD=/usr/lib/ncad_addr.so /usr/bin/httpd
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
Fügen Sie einen neuen Porteintrag in die Datei /etc/nca/ncaport.conf ein. In diesem Beispiel wird Port 8888 für die IP-Adresse 192.168.84.71 eingefügt. Weitere Informationen finden Sie unter ncaport.conf(4).
# cat /etc/nca/ncaport.conf # # NCA Kernel Module Port Configuration File # . . ncaport=*/80 ncaport=192.168.84.71/8888
In der Datei, in der die NCA-Portkonfigurationen enthalten sind, muss eine Adresse vorhanden sein, bevor ein Webserver die Adresse für NCA verwenden kann. Wenn der Webserver ausgeführt wird, muss er neu gestartet werden, nachdem die neue Adresse definiert wurde.
Dieses Verfahren dient zur Verbesserung der Leistung des SSL-Paketprozesses, der auf einem Apache 2.0-Webserver ausgeführt wird.
Bevor Sie beginnen
Für das folgende Verfahren muss ein Apache 2.0-Webserver installiert und konfiguriert sein. Der Apache 2.0-Webserver ist in enthalten.
Um den SSL-Kernel-Proxy verwenden zu können, müssen der private Serverschlüssel und das Serverzertifikat in einer einzelnen Datei enthalten sein. Wenn nur der Parameter SSLCertificateFile in der Datei ssl.conf angegeben ist, kann die angegebene Datei direkt für Kernel-SSL verwendet werden. Wenn der Parameter SSLCertificateKeyFile ebenfalls angegeben ist, müssen die Zertifikatsdatei und die Privatschlüsseldatei kombiniert werden. Eine Möglichkeit, das Zertifikat und die Schlüsseldatei zu kombinieren, besteht darin, den folgenden Befehl auszuführen:
# cat cert.pem key.pem >cert-and-key.pem
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices. Der Befehl ksslcfg ist im Network Security-Profil enthalten.
Dieser Befehl stoppt den Webserver auf einem System, auf dem der Server so konfiguriert ist, dass er mithilfe von SMF ausgeführt wird.
# svcadm disable svc:/network/http:apache2
Wenn der Service noch nicht umgewandelt wurde, stoppen Sie den Service mit der Befehlssyntax /usr/apache2/bin/apachectl stop.
Sämtliche Optionen finden Sie auf der Manpage ksslcfg(1M). Sie müssen über Informationen für die folgenden Parameter verfügen:
key-format – wird zusammen mit der Option -f verwendet, um das Zertifikat und das Schlüsselformat zu definieren. Für den SSL-Kernel-Proxy sollte entweder pem oder pkcs12 verwendet werden.
key-and-certificate-file – wird zusammen mit der Option -i verwendet, um den Speicherort der Datei festzulegen, in der der Serverschlüssel und das Zertifikat gespeichert werden.
password-file – wird zusammen mit der Option -p verwendet, um den Speicherort der Datei festzulegen, in der das Passwort gespeichert wird, das zum Verschlüsseln des privaten Schlüssels dient. Dieses Passwort wird verwendet, um unbeaufsichtigte Neustarts zu erlauben. Die Berechtigungen für die Datei sollten auf 0400 gesetzt sein.
proxy-port – wird zusammen mit der Option -x verwendet, um den SSL-Proxyport festzulegen. Wählen Sie einen anderen Port als den Standardport 80. Der Webserver überwacht den SSL-Proxyport.
ssl-port – dient zur Auswahl des Ports für den SSL-Kernel-Proxy, der überwacht werden soll. Der Wert wird normalerweise auf 443 gesetzt.
Hinweis - Die Werte für ssl-port und proxy-port können nicht für NCA konfiguriert werden, da diese Ports ausschließlich vom SSL-Kernel-Proxy verwendet werden. Normalerweise wird Port 80 für NCA, Port 8443 für den Proxy-Port und Port 443 für den SSL-Port verwendet.
Der Befehl ksslcfg gibt den SSL-Proxyport und die zugehörige Parameter an.
ksslcfg create -f key-format -i key-and-certificate-file -p password-file -x proxy-port ssl-port
Der Servicestatus, der durch den folgenden Befehl gemeldet wird, sollte "online" lauten:
# svcs svc:/network/ssl/proxy
Bearbeiten Sie die Datei /etc/apache2/http.conf, und fügen Sie eine Zeile ein, um den SSL-Proxyport zu definieren. Wenn Sie die Server-IP-Adresse verwenden, überwacht der Webserver nur die betreffende Schnittstelle. Die Zeile sollte wie folgt aussehen:
Listen 0.0.0.0:proxy-port
Der Webserver sollte nur nach der SSL-Kernel-Proxyinstanz gestartet werden. Die folgenden Befehle dienen zum Festlegen dieser Abhängigkeit:
# svccfg -s svc:/network/http:apache2 svc:/network/http:apache2> addpg kssl dependency svc:/network/http:apache2> setprop kssl/entities = fmri:svc:/network/ssl/proxy:kssl-INADDR_ANY-443 svc:/network/http:apache2> setprop kssl/grouping = astring: require_all svc:/network/http:apache2> setprop kssl/restart_on = astring: refresh svc:/network/http:apache2> setprop kssl/type = astring: service svc:/network/http:apache2> end
# svcadm enable svc:/network/http:apache2
Wenn der Service nicht mithilfe von SMF gestartet wird, verwenden Sie den folgenden Befehl: /usr/apache2/bin/apachectl startssl
Beispiel 2-3 Konfigurieren eines Apache 2.0-Webservers zur Verwendung des SSL-Kernel-Proxys
Der folgende Befehl erstellt eine Instanz mithilfe des pem-Schlüsselformats:
# ksslcfg create -f pem -i cert-and-key.pem -p file -x 8443 443
Dieses Verfahren dient zur Verbesserung der Leistung des SSL-Paketprozesses, der auf einem Sun Java System-Webserver ausgeführt wird. Informationen zu diesem Webserver finden Sie im Sun Java System Web Server 6.1 SP4 Administrator’s Guide .
Bevor Sie beginnen
Für das folgende Verfahren muss ein Sun Java System-Webserver installiert und konfiguriert sein.
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices. Der Befehl ksslcfg ist im Network Security-Profil enthalten.
Verwenden Sie die Administrator-Webschnittstelle, um den Server zu stoppen. Weitere Informationen finden Sie unter Starting and Stopping the Server im Sun Java System Web Server 6.1 SP4 Administrator’s Guide .
Dieser Schritt ist notwendig, um sicherzustellen, dass der Metaslot deaktiviert ist, wenn die Instanz des Kernel-SSL-Service erstellt wird.
# cryptoadm disable metaslot
Sämtliche Optionen finden Sie auf der Manpage ksslcfg(1M). Sie müssen über Informationen für die folgenden Parameter verfügen:
key-format – wird zusammen mit der Option -f verwendet, um das Zertifikat und das Schlüsselformat zu definieren.
token-label – wird zusammen mit der Option -T verwendet, um das PKCS#11-Token anzugeben.
certificate-label – wird zusammen mit der Option - C verwendet, um die Bezeichnung im Zertifikatobjekt im PKCS#11-Token auszuwählen.
password-file – wird zusammen mit der Option -p verwendet, um den Speicherort der Datei festzulegen, die das Passwort enthält, das verwendet wird, um den Benutzer beim PKCS#11-Token anzumelden, das vom Webserver verwendet wird. Dieses Passwort wird verwendet, um unbeaufsichtigte Neustarts zu erlauben. Die Berechtigungen für die Datei sollten auf 0400 gesetzt sein.
proxy-port – wird zusammen mit der Option -x verwendet, um den SSL-Proxyport festzulegen. Wählen Sie einen anderen Port als den Standardport 80. Der Webserver überwacht den SSL-Proxyport.
ssl-port – definiert den Port für den SSL-Kernel-Proxy, der überwacht werden soll. Dieser Wert wird normalerweise auf 443 gesetzt.
Hinweis - Die Werte für ssl-port und proxy-port können nicht für NCA konfiguriert werden, da diese Ports ausschließlich vom SSL-Kernel-Proxy verwendet werden. Normalerweise wird Port 80 für NCA, Port 8443 für den Proxy-Port und Port 443 für den SSL-Port verwendet.
Der Befehl ksslcfg gibt den SSL-Proxyport und die zugehörige Parameter an.
ksslcfg create -f key-format -T PKCS#11-token -C certificate-label -p password-file -x proxy-port ssl-port
# cryptoadm enable metaslot
Der Servicestatus, der durch den folgenden Befehl gemeldet wird, sollte "online" lauten:
# svcs svc:/network/ssl/proxy
Weitere Informationen finden Sie unter Adding and Editing Listen Sockets im Sun Java System Web Server 6.1 SP4 Administrator’s Guide .
Beispiel 2-4 Konfigurieren eines Sun Java System-Webservers zur Verwendung eines SSL-Kernel-Proxys
Der folgende Befehl erstellt eine Instanz mithilfe des pkcs11-Schlüsselformats:
# ksslcfg create -f pkcs11 -T "Sun Software PKCS#11 softtoken" -C "Server-Cert" -p file -x 8443 443
Die Verwendung des SSL-Kernel-Proxy in Zonen unterliegt folgenden Beschränkungen:
Die gesamte Kernel-SSL-Verwaltung muss von der globalen Zone aus durchgeführt werden. Der Administrator der globalen Zone benötigt Zugriff auf das Zertifikat der lokalen Zone sowie die Schlüsseldateien. Der Webserver der lokalen Zone kann gestartet werden, sobald die Serviceinstanz mithilfe des Befehls ksslcfg in der globalen Zone konfiguriert ist.
Es muss ein spezifischer Hostname oder eine IP-Adresse angegeben werden, wenn der Befehl ksslcfg ausgeführt wird, um die Instanz zu konfigurieren. Die Instanz kann vor allem INADDR_ANY nicht verwenden.
Beispiel 2-5 Konfigurieren eines Apache-Webservers in einer lokalen Zone zur Verwendung eines SSL-Kernel-Proxys
Stoppen Sie in der lokalen Zone zunächst den Webserver. Führen Sie in der lokalen Zone alle Schritte aus, die notwendig sind, um den Service zu konfigurieren. Um eine Instanz namens apache-zone für eine lokale Zone zu erstellen, verwenden Sie den folgenden Befehl:
# ksslcfg create -f pem -i /zone/apache-zone/root/keypair.pem -p /zone/apache-zone/root/pass \ -x 8443 apache-zone 443
Führen Sie in der lokalen Zone den folgenden Befehl aus, um die Serviceinstanz zu aktivieren:
# svcadm enable svc:/network/http:apache2
|